Haute disponibilité du pare-feu et de l'annuaire

Le problème que je voulais résoudre

Tout le trafic entre mes cinq segments passait par un seul pfSense. Et l'authentification de tout le domaine reposait sur un seul contrôleur. Deux points uniques de défaillance : imaginons qu'un de ces deux serveurs tombe à 14 h un mardi — c'est toute la PME qui s'arrête.

Mon raisonnement

Plutôt que d'attendre la panne, j'ai voulu simuler le scénario et garantir que la réponse soit : rien de visible pour les utilisateurs. Cela m'a orienté vers une architecture active/passif avec bascule automatique, côté réseau comme côté annuaire.

Ce que j'ai mis en place

• Un second pfSense synchronisé via CARP : les deux pare-feux partagent des IP virtuelles (la passerelle reste en .1 pour toutes les machines). Le Master traite le trafic, le Backup prend le relais en quelques secondes. La configuration se synchronise via XMLRPC, les sessions via pfsync, le tout sur un segment dédié 10.10.50.0/30.
• Un second contrôleur de domaine (DC02) en réplication intra-site : si DC01 tombe, DC02 assure l'authentification Kerberos, le DNS et l'application des GPO.

Comment j'ai validé

Test de bascule réel : un ping continu sur la passerelle, puis arrêt brutal du pfSense Master dans VMware. Résultat : un ou deux paquets perdus, puis reprise — les VIP passent en MASTER sur le Backup. Même test pour l'AD : extinction de DC01, et la commande nltest /dsgetdc répond bien DC02 après quelques secondes. Quand le Master revient, les VIP lui reviennent automatiquement.